2019年5月的一个清晨,美国马里兰州巴尔的摩市政府的工作人员像往常一样打开电脑,却发现关键文件全部变成了无法读取的乱码。屏幕上弹出一条冷酷的提示:所有数据已被加密,必须支付赎金才能解锁。那一刻,这座港口城市的行政心脏骤然停摆。

市政府拒绝向勒索团伙低头。随之而来的,是一连串公共服务系统的崩塌——房地产交易被迫搁置,水费电费等市政账单无法在线支付,甚至连911应急响应和警务调度都受到不同程度的波及。恢复重建的账单最终飙升至数百万美元,而整个社区对网络世界的脆弱性有了切肤之痛。

打开网易新闻 查看精彩图片

这个案例被收录进一门叫作“网络安全诊所”的大学课程。开课地点不在计算机学院楼,却藏在麻省理工学院城市研究与规划系里。2019年,也就是巴尔的摩遭袭的同一年,讲师Jungwoo Chun和福特城市与环境规划教授Lawrence Susskind正式启动了这个独特的诊所项目,此后的几乎每个学期都未曾间断。

就像法学院或医学院为学生开设的法律诊所、医疗诊室一样,这门课程一边为学生提供逼真的实战训练,一边向高风险社区交付免费的公益服务。学生先要完成一系列教学模块,并通过严格的认证考试,然后编成小组,对接到真实的客户组织。到学期结束时,每个团队都要交付一份深度评估报告,梳理客户面临的网络攻击薄弱环节,并给出具体可操作的防护建议。

到目前为止,这个小小的校园诊所已经完成了超过40份此类评估,全部保密且分文不取,客户主要集中在马萨诸塞州等新英格兰地区的基层市镇和医疗机构。当联邦调查局互联网犯罪投诉中心在2025年记录下平均每天高达2765起针对美国民众的网络攻击时,这些默默运转的“学生保安队”就以几乎零预算的方式,在关键处补上了一块缺口。

Chun在课堂上常用“连锁坍塌效应”来描述一次成功的勒索攻击对城市生活的打击。不只是账面上的赎金和修复费用,更深层的是信任和基本服务的瓦解。他提醒学生:一旦水处理系统、交通事故管理系统或医院挂号平台被锁死,居民所面临的就不再是电脑病毒,而是真实的物理世界危机。

事实上,近年来针对类似诊所所服务的那类小型社区的袭击,已经直接威胁到饮用水供应,瘫痪过911电话和警察内部网络,还导致大量市民的敏感个人信息被泄露到暗网上。这些机构虽然掌管着最基本的基础设施入口,自身却根本没有专职的网络安全人员。劳动力市场上,这类专业人才长期处于严重供不应求的状态,而公共预算开出的薪酬,几乎完全无法与私营巨头为合格工程师提供的优厚待遇竞争。

Comparitech的一项统计更加触目惊心:从2018年到2024年,美国各级政府机构累计遭遇525起勒索软件攻击,平均大约每五天就发生一起。即便受害机构重建了系统,业务中断所造成的累积停机成本,估算下来也高达10.9亿美元之多。这些数字背后,是一个个被反复按在地上摩擦的学校和市政厅。

Susskind对此的观察直指痛点:资金拮据的公共部门和非营利机构必须学会走“自救”这条路。在他看来,只要得到一点来自免费诊所的专业指导,这些组织完全能实施大量低成本甚至零成本的防御动作。关键不在于一次投入多少钱买设备,而是能否建立一套可持续的安全意识和操作习惯。

或许让人意外的是,这个项目的牵头人并非传统意义上的技术黑客。Chun是一位专攻公共政策与规划的应用型社会科学家,Susskind则是冲突解决与共识建构领域的资深学者。他们把自己开发的这一整套方法论称作“防御性社会工程”。从称呼就能看出,他们从一开始就没打算把网络安全问题当作纯技术题来解。

在诊所的视角里,一次攻击之所以成功,往往不是因为某一行代码写得不够好,而是因为有人点开了不该点的邮件附件,或老旧的管理员密码被挂在论坛上公开叫卖。因此,课程里大量篇幅被分配给组织流程再造、人员培训机制、简单但易被忽略的备份策略,以及如何在危机来临时保持对外沟通的清晰度。这些内容看上去不炫酷,却恰恰是那些“守不住”的机构最缺的东西。

学生进入诊所后,首先经历的是一段密集的理论与规章学习。每一节模块都围绕一个真实的攻击场景展开:比如某个小镇的税务数据库被突然加密,应该先通知谁?要不要立刻拔网线?怎么判断犯罪分子的真实意图?认证考试则模拟了基层公务员最常遇到的钓鱼陷阱和社交工程套路,只有通过测试的人才有资格接触客户数据。

被分配到客户后,学生小组通常会在保密协议的保护下,获得对着真实网络拓扑图和内部政策手册任意“挑刺”的权利。他们可以要求查看服务器的补丁更新记录,检查员工是否使用了弱密码,甚至模拟拨打电话测试前台人员会不会轻易透露内部信息。整个过程被严格限定在善意探测范围内,所有发现只写在最终报告里,绝对不对第三方公开。